/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
denial of service angreb på netaviser - ig~
Fra : Klaus Andersen


Dato : 29-01-06 11:21

Så er den åbenbart gal igen.

Men for at lave sådan et angreb skal man da have nogle (mange) zombie
maskiner rundt om i verden?
- nogen der ved i hvilke lande disse maskiner befinder sig?

http://politiken.dk/VisArtikel.iasp?PageID=433080

Mvh

KA



 
 
Bertel Lund Hansen (29-01-2006)
Kommentar
Fra : Bertel Lund Hansen


Dato : 29-01-06 11:33

Klaus Andersen skrev:

> - nogen der ved i hvilke lande disse maskiner befinder sig?

Det ved sikkert ikke engang dem der laver angrebet. De lader
formodentlig en virus med bagdør inficere computere over hele
verden, og programmet rapporterer hjem til masteren med sin
IP-adresse. Mere behøver de ikke vide.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

Povl H. Pedersen (29-01-2006)
Kommentar
Fra : Povl H. Pedersen


Dato : 29-01-06 17:49

In article <43dc99c1$0$11673$ba624c82@nntp02.dk.telia.net>, Bertel Lund Hansen wrote:
> Klaus Andersen skrev:
>
>> - nogen der ved i hvilke lande disse maskiner befinder sig?
>
> Det ved sikkert ikke engang dem der laver angrebet. De lader
> formodentlig en virus med bagdør inficere computere over hele
> verden, og programmet rapporterer hjem til masteren med sin
> IP-adresse. Mere behøver de ikke vide.

typisk taler de med en IRC kanal, og holder øje med kommandoer her.
Har en kollega der lige har haft en af dem. Kunne ikke findes af
anti-virus eller anti-spyware. Jeg skældte ham også ud da han sagde han
havde slettet mappen med den i. En sådan skal til analyse.

Kent Friis (29-01-2006)
Kommentar
Fra : Kent Friis


Dato : 29-01-06 11:39

Den Sun, 29 Jan 2006 11:20:53 +0100 skrev Klaus Andersen:
> Så er den åbenbart gal igen.
>
> Men for at lave sådan et angreb skal man da have nogle (mange) zombie
> maskiner rundt om i verden?

Ikke nødvendigvis.

Begrebet "denial of service" - DOS dækker alt hvad der lukker / blokerer
servicen. At klippe netkablet over er i princippet også DOS.

Underkategorien "distributed denial of service" - DDOS kræver brug
af flere maskiner, og artiklen kunne lyde som om det er det de
snakker om. Men det behøver stadig ikke være zombies, der kunne også
være tale om at man selv har flere computere stående. Hvor mange der
er nødvendige afhænger af hvor meget kapacitet hver af dem har,
i forhold til hvor meget kapacitet målet har. En enkelt maskine på en
100mbit forbindelse kan sagtens floode en 2mbit ADSL - selvom der
skal mindst to til før det er distribueret.

En "slashdotting" er i princippet også et DDOS, selvom det ikke er et
angreb, og ikke i nogen ond hensigt. Der er bare tale om en masse nørder
der vil se en side på samme tid, og det får serveren til at opgive. Det
kan være det samme der er sket her, hvis en eller anden arabisk TV-
station har givet linket til omtalte tegninger i aften-nyhederne, og
alle seere med internet-adgang er gået ind for at se hvad de snakker om.

> - nogen der ved i hvilke lande disse maskiner befinder sig?
>
> http://politiken.dk/VisArtikel.iasp?PageID=433080

Vi kan ikke læse mere end der står i artiklen.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

Ukendt (29-01-2006)
Kommentar
Fra : Ukendt


Dato : 29-01-06 14:03

Kent Friis wrote:
>
> Det
> kan være det samme der er sket her, hvis en eller anden arabisk TV-
> station har givet linket til omtalte tegninger i aften-nyhederne, og
> alle seere med internet-adgang er gået ind for at se hvad de snakker om.

Det er selvfølgelig en mulighed. Hvorvidt det er tilfældet burde
det være muligt at afgøre udfra logfilerne. Hvis der faktisk
kommer et voksende antal legitime requests, så må de i hvert
fald i begyndelsen resultere i et voksende antal indgange i
logfilen.

--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

Kent Friis (29-01-2006)
Kommentar
Fra : Kent Friis


Dato : 29-01-06 14:49

Den Sun, 29 Jan 2006 14:03:14 +0100 skrev Kasper Dupont:
> Kent Friis wrote:
>>
>> Det
>> kan være det samme der er sket her, hvis en eller anden arabisk TV-
>> station har givet linket til omtalte tegninger i aften-nyhederne, og
>> alle seere med internet-adgang er gået ind for at se hvad de snakker om.
>
> Det er selvfølgelig en mulighed. Hvorvidt det er tilfældet burde
> det være muligt at afgøre udfra logfilerne. Hvis der faktisk
> kommer et voksende antal legitime requests, så må de i hvert
> fald i begyndelsen resultere i et voksende antal indgange i
> logfilen.

En DDOS mod webserveren (og ikke blot mod båndbredden) vil også fremgå
af logfilen. Hvis det er gjort ordentligt, kan det være umuligt at se
forskel.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

Thomas (29-01-2006)
Kommentar
Fra : Thomas


Dato : 29-01-06 14:49

Ham med 1$ hjemmesiden blev også truet og efterfølgende hacket med noget
DDOS.

Han købte derefter noget hardware, hvad kan det være ?
Hvad er principperne i at beskytte sig mod ddos angreb, hvis det er
forskellige computere kan man jo ikke blokere for ipadressen ?



Kent Friis (29-01-2006)
Kommentar
Fra : Kent Friis


Dato : 29-01-06 14:56

Den Sun, 29 Jan 2006 14:49:07 +0100 skrev Thomas:
> Ham med 1$ hjemmesiden blev også truet og efterfølgende hacket med noget
> DDOS.
>
> Han købte derefter noget hardware, hvad kan det være ?
> Hvad er principperne i at beskytte sig mod ddos angreb, hvis det er
> forskellige computere kan man jo ikke blokere for ipadressen ?

Mere kapacitet end angriberne.

Man kan forsøge at finde et system i angrebet, for derefter at få
upstream[1] til at blokere alt hvad der ligner, men det virker kun
indtil angriberne opdager det. Så skifter de taktik, og man kan begynde
forfra.

Mvh
Kent

[1] Det hjælper ikke noget at blokere lokalt, hvis de går efter at
fylde båndbredden. Det skal gøres hos en upstream udbyder der har
mere båndbredde end angriberne.
--
Hard work may pay off in the long run, but laziness pays off right now.

John (29-01-2006)
Kommentar
Fra : John


Dato : 29-01-06 21:24

"Thomas" skrev i en meddelelse

> Han købte derefter noget hardware, hvad kan det være ?
> Hvad er principperne i at beskytte sig mod ddos angreb

Ved ikke, men her er en lynforklaring, samt gratis software:
http://www.sniff-em.com/harden-it.shtml

Opsætningen er uhyre nem med anbefalede indstillinger, og en lille
forklaring til hvert punkt.

Sygate firewall har også DoS-protection:

"Sygate Personal Firewall Pro provides a multi-layered shield of network,
content, application, and operating system protection for your PC. In
addition to advanced firewall technologies, the PRO version integrates an
Intrusion Prevention System (IPS) with application-based IDS, DoS
protection, and Trojan protection features. ..."
Link:
http://www.snapfiles.com/reviews/Sygate_Personal_Firewall_Pro/sygatefwpro.html

For brugere af fx Yahoo-chat, findes flere effektive og gratis programmer.

Mvh John



Christian E. Lysel (29-01-2006)
Kommentar
Fra : Christian E. Lysel


Dato : 29-01-06 23:10

John wrote:
>>Han købte derefter noget hardware, hvad kan det være ?
>>Hvad er principperne i at beskytte sig mod ddos angreb
>
>
> Ved ikke, men her er en lynforklaring, samt gratis software:
> http://www.sniff-em.com/harden-it.shtml
[cut]

Hvad hjælper det imod et DDoS angreb?

> Sygate firewall har også DoS-protection:
[cut]

Nej, de har genkendelse på simple over 5-10 år gamle angreb, der
på en patchet maskine og hardnet maskine ikke er noget problem.

Har sygate stadigvæk dette sikkerhedproblem
http://www.irmplc.com/advisory014.htm ?


Niels Callesøe (30-01-2006)
Kommentar
Fra : Niels Callesøe


Dato : 30-01-06 17:04

Christian E. Lysel wrote in
<news:43dd3d1b$0$1824$edfadb0f@dread11.news.tele.dk>:

>>>Han købte derefter noget hardware, hvad kan det være ?
>>>Hvad er principperne i at beskytte sig mod ddos angreb
>>
>>
>> Ved ikke, men her er en lynforklaring, samt gratis software:
>> http://www.sniff-em.com/harden-it.shtml
> [cut]
>
> Hvad hjælper det imod et DDoS angreb?

Ret beset kommer det nok an på angrebets skala og type -- ganske som
med de øvrige værktøjer der kan tages i brug til at afhjælpe eller
aflaste under et DDoS. Som det fremgår, er der tale om et værktøj der
ændrer i Windows netværksstakken således at SYN timeouts bliver
kortere, og der bruges færre retries (samt diverse andre angrebs-
specifikke funktioner). Begge dele kan betyde at en Windows-maskine der
ellers ville være bukket under for et klassisk SYN-flood i stedet
overlever (omend jeg aldrig har set værktøjet før og ikke aner hvor
godt det er skrevet).

Men ovenstående er jo oplagt. Så når du spørger, er det jo nok med den
bagtanke at sige "jamen, angriberen kan jo bare bruge hele båndbredden
med sit DDoS-netværk" -- men det er en forhastet konklusion. Faktisk er
det jo slet ikke sikkert at en angriber har resourcer nok, eller
interesse nok, til at eksponere hele sit botnet i et sådant angreb. Og
på den måde kan simpel hardening som minimum medføre at angriberen skal
bruge flere resourcer end det ellers ville være nødvendigt, og med lidt
held afværge angrebet helt. Desuden tvinger det jo angriberen over i
mere 'brute force'-agtige angreb, der er tilsvarende lettere at afværge
på anden vis.

Så ideen er sådan set god nok. Om implementationen er god, skal jeg
ikke kunne sige. Og det er langt fra sikkert at det er nok.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

Null routes er din ven.

Christian E. Lysel (30-01-2006)
Kommentar
Fra : Christian E. Lysel


Dato : 30-01-06 21:35

Niels Callesøe wrote:
> Men ovenstående er jo oplagt. Så når du spørger, er det jo nok med den
> bagtanke at sige "jamen, angriberen kan jo bare bruge hele båndbredden
> med sit DDoS-netværk" -- men det er en forhastet konklusion. Faktisk er

I et DDoS vil kan du ramme en anden begrænsning end båndbredden for at
ligge linien ned.

Prøv at kik på antallet af pakker i sekundet en linie kan klare.

Sidst en af vores leverandør prøvede at køre X11 over en SSH forbindelse
blev vores 4 Mbit linie lagt ned. Blot det han flyttede musen var nok.

> det jo slet ikke sikkert at en angriber har resourcer nok, eller
> interesse nok, til at eksponere hele sit botnet i et sådant angreb. Og

Selvfølgelig hjælper et angreb ikke hvis der ikke bliver benyttet nok
resourcer på det.

> på den måde kan simpel hardening som minimum medføre at angriberen skal
> bruge flere resourcer end det ellers ville være nødvendigt, og med lidt
> held afværge angrebet helt. Desuden tvinger det jo angriberen over i
> mere 'brute force'-agtige angreb, der er tilsvarende lettere at afværge
> på anden vis.

Hvilket der ikke er noget problem i, da botnet'et er lavet til formålet.

> Så ideen er sådan set god nok. Om implementationen er god, skal jeg
> ikke kunne sige. Og det er langt fra sikkert at det er nok.

En hardning af et OS er altid en god idé, jeg kan dog forsat ikke se
hvad det hjælper imod et DDoS angreb.

Niels Callesøe (29-01-2006)
Kommentar
Fra : Niels Callesøe


Dato : 29-01-06 15:30

Klaus Andersen wrote:

> Så er den åbenbart gal igen.
[...]
> http://politiken.dk/VisArtikel.iasp?PageID=433080

.... og igen.

http://politiken.dk/VisArtikel.iasp?PageID=433225

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

This space for rant.

Thomas (29-01-2006)
Kommentar
Fra : Thomas


Dato : 29-01-06 20:12

er filtrat.dk også blevet hacket ?



Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste